2024年2月22日,网上公开披露了一个Gofiber 存在CORS凭证泄露漏洞(CVE-2024-25124),Gofiber 是一个基于Go语言的轻量级web框架,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Control-Allow-Origin 通配符`*`并且Access-Control-Allow-Credentials为true),攻击者可以利用这种不安全的配置,通过构造特定的跨源请求窃取其他用户的用户凭证(如cookies、HTTP认证信息等)。浏览器提供的 fetch API 以及强制执行 CORS 策略的浏览器和实用程序不受此漏洞影响。
风险等级:高风险。
影响范围:
github.com/gofiber/fiber/v2@(-∞, 2.52.1)
github.com/gofiber/fiber/v2/middleware/cors@(-∞, 2.52.1)
修复建议:
将组件github.com/gofiber/fiber/v2 升级至 2.52.1 及以上版本
将组件github.com/gofiber/fiber/v2/middleware/cors 升级至 2.52.1 及以上版本
